PR

 世界のセキュリティベンダーのブログから、興味深い話題をピックアップして紹介する。今回は、まず、パスワードに関するブログから。英ソフォスのブログで、これまでの常識を覆す内容が興味深い。

 セキュリティ保護には長くて複雑なパスワードを選ぶことが重要だということは誰もが認める常識である。しかし相変わらず「12345」や「password」など、瞬時に破られてしまうパスワードを使っている人が多い。このため、一部のセキュリティ専門家はそういった人たちを説得する方法、あるいはそういった人たちに行動を改めさせる方法を考えるために膨大な時間を費やしている。

 しかし、この常識に疑問をなげかける研究論文(PDF文書)が、米マイクロソフトの研究部門から発行された。

 論文の著者であるマイクロソフト研究部門のDinei Florencio氏とCormac Herley氏、およびカナダのカールトン大学のPaul C. van Oorschot氏は「世の中の多くのセキュリティ指導は十分に証明されていない」とし、パスワード構造ポリシーの有用性や、強力なパスワードの基準について調査した。その結果「強力なパスワードの作成は時間の浪費」という結論に達したという。

 同研究では、第三者がユーザー名とパスワードを推測してWebサイトへのログインを試みる「オンライン攻撃」と、第三者があるサイトのパスワードデータベースを盗むなり購入するなりして手に入れてから解読を試みる「オフライン攻撃」において、パスワードの有用性を検証した。

 オンライン攻撃は通常、コンピュータプログラムが人間よりはるかに高速でパスワードを推測し、入力してログインの試みを繰り返す。しかし、異常な回数のログインの試みは、サイト管理者にすぐに気づかれるほか、サイトに負荷がかかりすぎでダウンさせてしまう可能性が高い。そのため、推測の速度や回数を高めたところでそれに見合った攻撃の成果は得られない。

 論文によれば、約100万回の推測で破られないパスワードなら、オンライン攻撃に耐えられるという。100万回と聞くと大きい値のように思えるが、数字と英文字を5つランダムに組み合わせた「03W3d」のような短いパスワードが該当する。

 一方、オフライン攻撃では、攻撃者は標的のパスワードの解読に全力で挑む。オフライン攻撃の試みに対抗するには100兆回の推測に耐えるパスワードが必要だという。しかし幸いなことに、オフライン攻撃はオンライン攻撃より成し遂げるのが難しい。攻撃者はWebサイトのバックエンドシステムにアクセスする必要があり、それも検知されずに実行しなければならない。パスワードを解読して利用するチャンスは、サイト管理者がアカウントをリセットするまでの間に限られる。

 オンライン攻撃に対抗できる100万回とオフライン攻撃に対抗できる100兆回の間は大きな隔たりがあるが、この中間の強度は無意味だ。オンライン攻撃には強いが、記憶するのが困難になるだけで、実質的なセキュリティ向上にはつながらない。

 そこで論文の著者らは企業や組織に対し、エンドユーザーに強力なパスワードを使わせることに労力を費やすより、適切なパスワードデータベースの保護や漏えい検知といったセキュリティ強化に投資するべきだと提案している。

 ユーザーに対しては、重要ではないアカウントや影響が低いアカウントのパスワード管理には手間をかけず、高価値のサイトに焦点を絞ってパスワード管理に取り組むようアドバイスしている。